Dalla piovra all’idra: come cambiano le cybergang. Il funzionamento di una banda di hacker è cambiato radicalmente: non più un centro che comanda molti tentacoli, ma molti centri che si rigenerano e moltiplicano una volta decapitati. E i rischi per gli utenti sono molto maggiori
Non più una sola testa che controlla più tentacoli, ma più teste che ne generano altre. É questo in sostanza il cambiamento principale che sta interessando le cybergang attive nel mondo.
Secondo l’ultima analisi di Swascan l’avversario contemporaneo, in termini di cybersicurezza, quindi non è più quindi la “piovra” del crimine organizzato, che da una sola testa controllava più tentacoli, bensì il temibile mostro di Lerna della realtà virtuale, dal quale per ogni testa mozzata dall’eroe greco ne crescevano altre due. Grazie a un’analisi approfondita del SoC team di Swascan, questa mutazione epocale si mostra in tutta la sua potenziale pericolosità. Nelle pagine dell’ultimo rapporto Scawasan si vede infatti come quella che poteva sembrare la sconfitta di Lockbit 3.0 e di Babuk, due dei gruppi più attivi del mondo cyber criminale, si è rivelata in realtà la nascita di cinque nuove gang ransomware, da subito distruttive.
Nel concreto dal codice sorgente di Lockbit 3.0 è nato “Bl00dy Ransomware”, che, occultato all’interno di un file eseguibile “chrome0.exe”, inganna i navigatori più distratti aprendo le porte del proprio sistema informatico alla doppia estorsione messa in atto dal virus: criptazione dei file e minaccia di pubblicazione su Telegram delle informazioni delle vittime.
Il canale è stato creato alla fine di luglio 2022 e ha iniziato a far trapelare i dati delle vittime ad agosto 2022. Particolare attenzione va prestato ai dispositivi USB, utilizzati per diffondere questo come altri malware. Bl00dy ha preso di mira molte organizzazioni note, di cui il 17% appartenenti al settore sanitario, in particolar modo negli Stati Uniti.
Nel caso di Babuk Ransomware, invece, il codice sorgente è stato impiegato per creare una variante che, in termini di nomenclatura, differisce ben poco: una lettera “c” aggiunta all’interno del nome originale del ransomware. Altre varianti di Babuk Ransomware includono Rook Ransomware, PayLoad Bin e Babuk Ransomware (versione Novembre 2022).
La gang Rook ha iniziato la propria attività alla fine del 2021, contando un totale di 6 attacchi. Tuttavia, il gruppo sembra aver agito per un mese, cessando la propria attività a gennaio 2022. La gang non sembra essersi focalizzata su un paese in particolare: le vittime, infatti, provengono tutte da paesi diversi, quali USA, India, Germania, Giappone, Svizzera e Turchia. Gli obiettivi preferiti sono le aziende di grandi dimensioni.
PayloadBin, gang nata a settembre 2021, raggiunge un totale di 28 vittime pubblicate sul sito di data leak ad inizio 2022, mese in cui cessa l’attività. L’82% delle vittime sono localizzate negli Stati Uniti.
Babuk è una gang ransomware emersa all’inizio del 2021. La dichiarazione della missione iniziale della gang faceva riferimento ad un intento non malevolo di condurre attacchi ransomware come apparente verifica della sicurezza delle reti aziendali: il gruppo ha specificato di non essere disposto ad attaccare ospedali, scuole, organizzazioni non profit e aziende con un fatturato annuo inferiore ai 4 milioni di dollari. Questa selettività delle vittime dimostra il tentativo di far credere che la gang abbia uno scopo “etico”: la realtà delle operazioni di Babuk, tuttavia, non è in linea con quanto dichiarato, in quanto la banda ha esfiltrato dati sensibili da organizzazioni appartenenti a diverse organizzazioni.
Tra queste, Babuk si è preso il merito di aver violato la rete informatica interna del dipartimento di polizia di Washington, minacciando di pubblicare i dati se non avessero ricevuto un riscatto in tre giorni. I post sul sito della gang erano inizialmente scritti sia in russo che in inglese, indicando una possibile origine russa di Babuk. Attualmente, il sito è solamente in inglese, e l’ultimo attacco sembra risalire a settembre 2021, mese in cui c’è stato il leak del codice sorgente della gang. Con la nuova variante di Novembre 2022 la gang ha colpito un’enorme infrastruttura di oltre 10.000 server; come primo step è stato infettato il domain controller, per poi procedere con un’infezione propagata in tutta l’infrastruttura.
“Dalle ceneri di vecchie gang – osserva il Ceo di Swascan, Pierguido Iezzi – ne sono nate delle nuove. L’utilizzo di codici altrui abbatte le barriere di ingresso nel mondo del cybercrime in termini di competenza e risorse, proprio come avviene con ChatGpT, l’intelligenza artificiale alla quale si può chiedere, con semplici accorgimenti, di elaborare un malware. In questo modo qualunque malintenzionato ha facile accesso agli strumenti del mestiere dell’hacking criminale, moltiplicando all’inverosimile le minacce nel web”.
Lascia un commento